Názory k článku
Jak napadnout DNSSEC pomocí kolize SHA-1

Tak teda P-256 me neprijde zrovna šťastná volba, je to sice jeden z nejrozšířenějších ECC, ale také z nejméně bezpečných.

http://safecurves.cr.yp.to/

a nebo také:

https://www.reddit.com/r/technology/comments/3hd5a0/nsa_has_stopped_recommending_p256_sha256_and/

NSA stopped reccomending P-256 long time ago

Jde vždycky o kompromis bezpečnosti a funkčnosti. Podpora Ed25519 a Ed448 v DNSSEC byla standardizována teprve v roce 2017, bude trvat ještě pár let, než se stane běžně podporovanou ve výchozí konfiguraci validátorů. Do té doby by přechod na tento algoritmus byl naopak kontraproduktivní – validátory by zóny podepsané neznámým algoritmem braly jako nepodepsané.

Asi si každý musí rozhodnout své priority, možností je řada. Například i P384, ale reálně je vidět vzácně. Nečekám horší podporu ve validátorech než P256 – spíš že P384 zatím vypadá jako zbytečně dlouhé. (Pro tento účel, i když už jsem zaslechl návrh P384 KSK + P256 ZSK.)

Obě NIST křivky jsou stejně “blbé”, a v zásadě neexistuje důvod proč P384 používat.

To záleží na důvodech nepoužívání P256. (A) Ano, u obou je jistá pochybnost, že by v nich mohl být "backdoor".

Měl jsem teď na mysli důvod (B) v délce klíče, na což mě navedl začátek vlákna. Přiznávám ale že jsem se s (B) setkával méně než s (A) a i osobně bych se zatím obával spíš (A) než (B). Třeba v NSA odkazu bylo specificky P384 doporučeno (před čtyřmi lety). P256 v tuto chvíli vypadá slabší než RSA 2048, tedy "nic moc" perspektiva a P384 je v tomto značně lepší při zachování celkem nízké náročnosti. (Slabší pro kvantové počítače, ty klasické v této délce klíče moc šanci nemají – alespoň bez backdooru, postranního kanálu, apod.)

No, I při použití P256 bych nejslabší místa reálného nasazení DNSSECu rozhodně viděl jinde. Možná pořád dokonce i při použití oblíbeného RSASHA1-NSEC3-SHA1 :-)

Já myslím, že OP měl na mysli spíš to, že výběr parametrů pro NIST křivky byl nešťastný (a hlavně nejasný), nikoli v samotné "síle" P256. Už jenom fakt, že ECDSA pořád v OpenSSL nemá implementováno RFC 6979 - Deterministic Usage of the Digital Signature Algorithm (DSA) and Elliptic Curve Digital Signature Algorithm (ECDSA) - snižuje bezpečnost všech ECDSA křivek oproti křivek založených na EdDSA, které nikdy tuto slabinu neměly.